CRITICALCVE-2026-25548CVSS 9.1

InvoicePlaneにおいて、ローカルファイルインクルージョンとログポイズニングを組み合わせたリモートコード実行の脆弱性

Q: CVE-2026-25548 — RCE in InvoicePlaneとは何ですか？

CVE-2026-25548は、InvoicePlane 1.7.0以前のバージョンにおけるリモートコード実行（RCE）脆弱性です。認証された管理者が、ログポイズニング攻撃とLFIを組み合わせることで、任意のシステムコマンドを実行可能です。

Q: CVE-2026-25548 in InvoicePlaneの影響はありますか？

はい、InvoicePlaneのバージョンが1.7.0以前の場合、この脆弱性によってサーバー上で任意のコードが実行される可能性があります。

Q: CVE-2026-25548 in InvoicePlaneを修正するにはどうすればよいですか？

InvoicePlaneをバージョン1.7.1にアップデートしてください。アップデートが困難な場合は、WAFルールを適用するなど、一時的な緩和策を検討してください。

Q: CVE-2026-25548は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、脆弱性の深刻度から、早期に悪用される可能性が懸念されます。

Q: CVE-2026-25548に関するInvoicePlaneの公式アドバイザリはどこで入手できますか？

InvoicePlaneの公式アドバイザリは、通常、InvoicePlaneのウェブサイトまたはGitHubリポジトリで公開されます。

プラットフォーム

php

コンポーネント

invoiceplane

修正版

1.7.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

InvoicePlaneは、請求書、顧客、支払い管理のためのオープンソースアプリケーションです。CVE-2026-25548は、InvoicePlaneの1.7.0以前のバージョンに存在する重大なリモートコード実行（RCE）脆弱性です。認証された管理者は、巧妙な攻撃手法により、サーバー上で任意のシステムコマンドを実行する可能性があります。この脆弱性は、1.7.1のバージョンで修正されています。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者がInvoicePlaneサーバー上で完全な制御権を獲得することを可能にします。攻撃者は、Webシェルをアップロードしたり、機密情報を盗み出したり、システムをマルウェア感染させたりする可能性があります。特に、データベースへのアクセス権を得ることで、顧客情報や財務データが漏洩するリスクがあります。この脆弱性は、Log4Shellのような攻撃パターンと類似しており、深刻な影響をもたらす可能性があります。攻撃者は、InvoicePlaneの管理インターフェースにアクセスできる認証情報を持っている必要があります。

悪用の状況

この脆弱性は、2026年2月18日に公開されました。現時点では、公的なPoCは確認されていませんが、脆弱性の深刻度から、早期に悪用される可能性が懸念されます。CISA KEVカタログへの登録状況は不明です。攻撃者は、InvoicePlaneを導入している組織を標的とし、認証情報を窃取するソーシャルエンジニアリング攻撃や、既知の脆弱性を悪用する自動化されたスキャン攻撃を行う可能性があります。

リスク対象者翻訳中…

Organizations using InvoicePlane for invoice management, particularly those with self-hosted deployments and administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's InvoicePlane installation could potentially affect others.

検出手順翻訳中…

• linux / server:

journalctl -u invoiceplane | grep -i "php code injection"

• generic web:

curl -I http://your-invoiceplane-server.com/public_invoice_template | grep -i "Content-Type: text/plain"

• php: Check the InvoicePlane configuration files for any unusual or unexpected entries in the publicinvoicetemplate setting. Look for suspicious file paths or attempts to include external files.

攻撃タイムライン

2026-02-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.14% (34% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントinvoiceplane

ベンダーInvoicePlane

影響範囲修正版

<= 1.7.0 – <= 1.7.01.7.1

弱点分類 (CWE)

CWE-94 CWE-98 CWE-117

タイムライン

予約済み2026-02-02
公開日2026-02-18
更新日2026-02-19
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、InvoicePlaneをバージョン1.7.1にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な緩和策として、publicinvoicetemplate設定の入力を厳密に検証し、ログファイルへの書き込みを制限するWAFルールを適用することを検討してください。また、InvoicePlaneのログファイルを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、InvoicePlaneのセキュリティ設定を再確認し、不要な機能やプラグインを無効化することで、攻撃対象領域を縮小できます。

修正方法

InvoicePlaneをバージョン1.7.1以降にアップデートしてください。このバージョンはリモートコード実行の脆弱性を修正しています。最新バージョンを公式サイトからダウンロードするか、利用可能な場合は組み込みのアップデートシステムを使用することでアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-25548 — RCE in InvoicePlaneとは何ですか？